Estou procurando monitorar meu uso de rede (em nível de pacote). Tudo. O registro é um requisito estrito. Eu preciso ser capaz de registrar consultas HTTP e DNS, para armazenamento, ao longo do tempo.
Sim, tenho a configuração de rede para capturar isso. Eu tenho usado o Colasoft Capsa, mas estou procurando soluções diferentes devido a problemas de estabilidade.
Sim, tentei o Wireshark. Eu não consigo fazer isso para descartar pacotes e focar em registrar o que eu quero de uma maneira sã. Além disso, alguma forma de geração de gráficos ou relatórios de endpoint (top talkers, pontos de extremidade populares e divisão e filtragem de uso por tipo de tráfego) é um requisito. Se eu estou descaradamente faltando alguma coisa, me avise. Mas eu não acho que o Wireshark funcione para mim.
Obviamente, com o Capsa, estou em um ambiente Windows, mas estou bem em mudar para o Linux, se necessário. Passei um bom tempo procurando, mas não consigo encontrar uma alternativa.
Eu tenho a verificação de gráficos e serviços SNMP já coberta, pelo que vale a pena.
Não sou contra uma solução paga, mas prefiro qualquer código aberto. Quaisquer de seus pensamentos e sugestões seriam muito apreciados!
Todas as implementações que eu vi onde havia uma exigência de registrar todos os pacotes ou certos pacotes foram feitas com o equipamento pelo Check-point. Você ainda precisará de algumas outras ferramentas para representar gráficos.
Outra solução é usar um intermediário do Linux para registrar todos os pacotes e alimentá-los no Splunk. O Splunk é uma ferramenta muito boa para criar gráficos e gerar relatórios automaticamente.
Dê uma olhada no ntop (pacote linux), ele registra praticamente tudo, da minha própria experiência e pode gerar relatórios conforme necessário.
BTW isso pode ser feito facilmente com o Wireshark usando o seguinte filtro
tcp.srcport == 443 or tcp.srcport == 80 or udp.srcport ==53
Você pode remover o tcp.srcport == 443 se não estiver interessado em pacotes HTTPS.
O Wireshark também pode produzir relatórios de endpoint (Statistics > Endpoints), tempo de resposta. lista de conversas, hierarquia de protocolos, etc.
Eu daria ao Wireshark outra chance.
Tags networking windows monitoring linux